Shikata Ga Nai

Private? There is no such things.

bWAPPでA3-XSS-Stored (Blog)

Hello there,

 

A3 ⇨ Cross-Site Scriptig Stored(Blog)を選択して。

まずは、動作を確認してから。

 

f:id:ThisIsOne:20191222162342p:plain

 

下記のスクリプトを登録してみると。

 <script>alert(1);document.write(document.cookie)</script>

 

f:id:ThisIsOne:20191222162433p:plain

 

まずは、はじめのスクリプトが実行されて。

 

f:id:ThisIsOne:20191222162513p:plain

 

クッキーの値が登録された。

 

f:id:ThisIsOne:20191222162555p:plain

 

データベースには、スクリプトコードが登録されているので。

画面をリロードすると。

再度、スクリプトが実行されて。

同じものが一行登録された。

 

f:id:ThisIsOne:20191222163043p:plain


Best regards,